Unsicher vernetzt

IT trifft OT – eine folgenreiche Begegnung

| Autor / Redakteur: Martin Grauel / Jürgen Schreier

Diverse Vorfälle zeigen, dass die Bedrohungen von Energieversorgern längst nicht nur technisch möglich, sondern real geworden sind.
Diverse Vorfälle zeigen, dass die Bedrohungen von Energieversorgern längst nicht nur technisch möglich, sondern real geworden sind. (Bild: Pixabay / CC0)

Systeme der Industriellen Betriebstechnik (OT-Systeme) können durch Cyberangriffe auf traditionelle Informationstechnologie (IT) beeinträchtigt werden. Besonders risikobehaftet sind dabei schlecht programmierte Mensch-Maschine-Schnittstellen.

Sitzt man in einer Vorlesung für Elektroingenieure gehört dieser Satz vielleicht zu den ersten, die man zu hören bekommt: "Haben wir Strom, haben wir alles!" Sieht man sich die Entwicklung in den letzten zehn Jahren an, muss man die Hypothese vermutlich revidieren zu: "Ohne IT kein Strom." Ingenieure alter Schule würden hier wohl widersprechen. Wissenschaftler sind jedoch anderer Meinung. Eine Schnellsuche nach dem Begriff "cyber attack energy" in Google Scholar fördert über 70.000 wissenschaftliche Artikel zu Tage. Offensichtlich ein theoretisch viel beackertes Feld.

Und in der Praxis? Aktionen von Shamoon, BlackEnergy, Dragonfly oder Havex liefern mittlerweile solide Beweise dafür, dass Systeme für industrielle Betriebstechnik (Operation Technology, OT) durch Cyberangriffe auf traditionelle Informationstechnologie (IT) beeinträchtigt werden können. SCADA (Supervisory Control and Data Acquisition) oder allgemeiner Industrial Control Systems (ICS) gehören für Angreifer zu den wichtigsten Zielen überhaupt.

Die fünf schlimmsten Cyberangriffe auf ICS-Systeme

Cybersecurity

Die fünf schlimmsten Cyberangriffe auf ICS-Systeme

11.06.18 - Industrieunternehmen und kritische Infrastrukturen stehen verstärkt im Visier von Cyberkriminellen. Kein Wunder also, dass es in der jüngsten Vergangenheit zu einigen gravierenden Sicherheitsvorfällen kam. lesen

Energieversorger im Visier

Im Juli 2017 veröffentlichte „The Guardian“ einen Artikel unter dem Titel "State hackers 'probably compromised' energy sector, says leaked GCHQ memo“. Also übersetzt etwa „Hacker in staatlichem Auftrag ‚kompromittierten vermutlich‘ den Energiesektor, heißt es in einem geleakten Memo des GCHQ.“ Der Autor schreibt: „Der britische Energiesektor wurde wahrscheinlich von staatlich unterstützten Hackern angegriffen und kompromittiert, so steht es in einem Memo des britischen National Cybersecurity Centre.

Laut Memo ist das NCSC der Ansicht, dass aufgrund der breiten Streuung des Angriffs vermutlich diverse Unternehmen, die industrielle Steuerungssysteme (ICS) herstellen und warten, betroffen sind.“ Der Guardian betont, dass Großbritannien das dritte Land innerhalb der letzten Woche sei, das es mit solchen Angriffen auf das Stromnetz zu tun bekommen hat. Gut in Erinnerung sind noch die hochkarätigen Angriffe auf das ukrainische Stromnetz 2015 und 2016. Bekannt geworden sind in jüngster Zeit auch zwei Attacken, die sich gegen deutsche Stromversorger gerichtet haben. Sie alle zeigen, dass die Bedrohungen längst nicht nur technisch möglich, sondern real geworden sind.

Das Problem tritt zu Tage

Für Cybersicherheitsexperten ist die Problematik allerdings nicht unbedingt neu. 2001 organisierte Gartner ein bekanntes Planspiel namens „Digital Pearl Harbor“, bei dem ein umfassender Cyberangriff gegen die Vereinigten Staaten simuliert wurde. Dabei waren auch Spezialisten, die sich mit den Auswirkungen einer kompromittierten OT im Energiesektor beschäftigten. Und die kamen schon 2001 einhellig zu dem Ergebnis, dass solche Angriffe ein großes Risiko darstellen. SCADA/ICS-Systeme sind de facto verwundbar. Trotzdem sorgte erst der Stuxnet-Angriff von 2011 für einen Weckruf auf beiden Seiten. OT-Experten begannen erstmals in großem Umfang über die mit traditionellen IT-Systemen bestehende Vernetzung nachzudenken.

Heute ist die real existierende Bedrohung im industriellen Sektor für jeden klar erkennbar. Regelmäßige Warnungen der betreffenden Sicherheitsanbieter eingeschlossen. Im März 2018 unternahmen das Department of Homeland Security (DHS) und das Federal Bureau of Investigation (FBI) einen trotzdem ungewöhnlichen Schritt. Sie gaben eine Warnung vor Cyberangriffen auf kritische Infrastrukturen in den USA heraus und wiesen Russland dafür die Verantwortung zu. Das war Mitte 2017. Die Angriffsmethode erinnerte an Dragonfly 2.0. Unter anderen veröffentlichte beispielsweise Symantec eine umfassende Übersicht zu diesem Angriff. Das einleitende Statement: „Der Energiesektor in Europa und Nordamerika wird von einer neuen Welle von Cyberangriffen ins Visier genommen. Angriffe, die das Potenzial haben, die betroffenen Prozesse ernsthaft zu stören.“

Die Gruppe dahinter, Dragonfly, ist mindestens seit 2011 aktiv. Nachdem 2014 Symantec und andere Experten auf die Gruppe aufmerksam geworden waren, legte sie eine knapp zweijährige Ruhepause ein, um Ende 2015 wieder aufzutauchen. Der "Dragonfly 2.0"-Angriff verwendet dabei dieselben Taktiken und Tools wie schon früher.

Dem bekannten Cyber-Kill-Chain-Modell folgend wird der Modus Operandi der Angreifer ausführlich im DHS-FBI-Bericht unter dem Namen Alert TA18-074A dargelegt.

Brandgefährlich: privilegierter Fernzugriff auf OT-Systeme für Dritte

Wie in vergleichbaren Fällen, haben die Angreifer den Drittanbieter eines Energieversorgers als Sprungbrett direkt in die kritische Informationsinfrastruktur genutzt. Ein Zeichen, wie anfällig Lieferketten sind. Betreiber kritischer Infrastruktur bestätigen, dass Dritte mit einem privilegierten Fernzugriff auf OT-Systeme in der Branche nicht unüblich sind. Eine Verfahrensweise, die Hackern entgegenkommt. Bietet sie ihnen doch die Möglichkeit selbst gut geschützte Systeme über das Internet zu erreichen. Aber zurück zu Dragonfly: Der DHS-FBI-Bericht enthält den Screenshot einer SCADA/ICS-Software, die von der Malware erstellt wurde.

Der DHS-FBI-Bericht enthält diesen Screenshot einer SCADA/ICS-Software, die von der Malware erstellt wurde.
Der DHS-FBI-Bericht enthält diesen Screenshot einer SCADA/ICS-Software, die von der Malware erstellt wurde. (Bild: FBI)

Ohne das Bild weiter analysieren zu wollen, fragt man sich unwillkürlich nach der dahinter liegenden Motivation der Angreifer. Cyberspionage? Dann bestünde die Motivation darin Aufbau und Betrieb von OT-Systemen besser zu verstehen. Oder beobachten wir hier, wie eine spätere Phase des Angriffs vorbereitet wird? Selbst wenn zum aktuellen Zeitpunkt nicht klar ist, was genau die Hacker motiviert hat, ist es doch einigermaßen besorgniserregend, dass jemand in Russland eine kritische Infrastruktur nicht nur kennt, sondern sie sogar beeinträchtigen kann.

Dragonfly ist übrigens nicht der einzige Fall dieser Art. Die im Mai 2018 entdeckte VPNFilter-Malware richtet Ähnliches bei SOHO-Routern an. Sie stiehlt nicht nur Netzwerkinformationen, sondern ist auch in der Lage die Router-Software zu zerstören. Und genau diese Art SOHO-Router ist in OT-Umgebungen weit verbreitet.

Shodan.io: HMIs sind am heimischen PCs sichtbar

Nach Ansicht von IT-Experten liegt das größte Risiko in der sogenannten „Mensch-Maschine-Schnittstelle“ (HMI). Vereinfacht definiert Wikipedia HMI als "das Bedienerfenster des Überwachungssystems. Die Schnittstelle liefert dem Bedienpersonal grafische Daten der Anlage in Form von Mimik-Diagrammen, die eine schematische Darstellung der zu steuernden Anlage sind, sowie Alarm- und Ereignisprotokollierungsseiten. Das HMI ist mit dem SCADA-Überwachungscomputer verbunden und liefert Live-Daten für die Mimik-Diagramme, Alarmanzeigen und Trendkurven. Bei vielen Installationen ist das HMI die grafische Benutzeroberfläche für den Bediener, erfasst alle Daten von externen Geräten, erstellt Berichte, führt Alarme aus, sendet Benachrichtigungen usw.“

Aus Sicht der Cybersicherheit betrachtet ist ein HMI schlecht programmierte Software, die auf einem veralteten, ungepatchten Betriebssystem läuft, scheinbar getrennt, in der Praxis aber vernetzt, und von Dritten über ein nicht segmentiertes Netzwerk erreichbar. Kurz, traumhafte Bedingungen für Hacker. Shodan.io, eine Suchmaschine für industrielle Systeme, beweist, dass HMIs sogar von heimischen PCs aus sichtbar sind.

Das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), zuständig für den Schutz kritischer Infrastrukturen in den USA, veröffentlicht auch die SCADA/ICS-bezogenen Sicherheitslücken. Bereits im ersten Halbjahr 2018 wurden 100 Sicherheitslücken in OT-Systemen gefunden. Diese recht hohe Zahl potenzieller Sicherheitslücken in nicht standardisierten, speziellen Systemen illustriert, warum die OT-Abteilung der IT-Sicherheit besondere Aufmerksamkeit schenken sollte.

Schwerwiegende Schäden in der OT durch IT: NotPetya

Die NotPetya-Malware verbreitete sich Mitte 2017 in wenigen Stunden weltweit und nicht nur in der Ukraine, dem ursprünglichen Ziel. Unternehmen wie der Logistikriese Maersk beispielsweise kämpften mit verheerenden Problemen. Die NCC Group führte 2018 einen Test bei einem ihrer Kunden durch. Ein Kunde, der grundlegend von seiner OT abhängig war. Getestet wurde mit einer modifizierten NotPetya-Variante. Bei diesem Test ging es darum herauszufinden, inwieweit Industriecomputer durch solche Bedrohungsszenarien gefährdet sind. NotPetya wurde ohne besondere Privilegien im Engineering-Netzwerk ausgebracht.

Gleich in der ersten Runde fand die Malware drei Windows-basierte Rechner im Netzwerk. Alle drei ohne den sicherheitsrelevanten Patch für die berüchtigte EternalBlue-Schwachstelle. Diese Computer konnten also problemlos infiziert werden. Die Malware erhielt dadurch Zugriff auf Kernel-Ebene und extrahierte die Anmeldeinformationen privilegierter Konten aus dem Speicher. Wie so oft waren diese Konten mit erweiterten Zugriffsberechtigungen der Schlüssel zum Erfolg. Innerhalb von nur zehn Minuten scannten die Angreifer das komplette Engineering-Netzwerk, zwei weitere Minuten reichten für den Administratorzugriff auf die gesamte Domain. Innerhalb von 45 Minuten infizierte die modifizierte NotPetya-Variante 107 OT-Computer. Unnötig zu sagen, dass man den Test an diesem Punkt lieber gestoppt hat.

Klauen und zerstören

Das HMI ist ein traditionelles IT-System, dennoch hat Operation Technology ihre Eigenheiten. Kaum ein SCADA-System ist einfach so auf dem Markt erhältlich. Hacker können es also nicht einfach hinsichtlich neuer Sicherheitslücken analysieren. ICS-Protokolle sind einzigartig, wenn auch nicht im Hinblick auf Sicherheit konzipiert. Ein Fakt der den für OT-Systeme verantwortlichen Elektroingenieuren gerne als Entschuldigung diente.

Als Rechtfertigung hat sie aber ausgedient. Anfang 2018 identifizierten Wissenschaftler „Industroyer“, eine auf SCADA/ICS spezialisierte Malware. Sie breitet sich auf bestimmten OT-Systemen über spezielle Protokolle aus. Das sind IEC 60870-5-101 (alias IEC 101), IEC 60870-5-104 (alias IEC 104), OLE für Process Control Data Access (OPC DA) und sogar IEC 61850. Letzteres wird als eine Art Superprotokoll der industriellen Welt gehandelt. Es handelt sich bei Industroyer um eine modulare Malware, die verschiedene Dinge tun kann. Hauptsächlich stiehlt sie Informationen, hat aber zusätzlich das Potenzial ganze OT-Systeme zu zerstören. Das sollte uns allerdings nicht mehr überraschen, wenn man die Vorgehensweise von Dragonfly und VPNFilter verstanden hat.

IoT in industriellen Umgebungen

OT-Hersteller sollten auf solche Bedrohungen Antworten geben können. Bisher war die Antwort: (noch) mehr IT. Oder genauer gesagt, IoT in Produktions- und Industriebetrieben. Das Internet of Things rückt jetzt wesentlicher näher an den industriellen Sektor. Nicht ganz ohne Grund bezeichnet man das IoT allerdings gerne auch als „Internet of Threats“. Die Hersteller bewerben vollmundig industrielle Clouds, vernetzte Geräte und Sensoren, um effizientere Prozesse zu unterstützen. Nur Cybersicherheit kommt selten vor und wenn, dann eher allgemein. Was also kann schief gehen, wenn man sich für mehr IT in der OT entscheidet, ohne die Sicherheitskultur und -infrastruktur entsprechend zu verstärken? Zunächst...nichts. Bis jemand auf die Idee kommt, aktiv nach Lücken in OT-Systemen zu suchen.

Auf OT-Betreiber kommen viele Veränderungen zu, daran besteht kein Zweifel. Neben internen Richtlinien und Branchenvorgaben sollten Unternehmen sich etwa auf die EU-Richtlinie über die Sicherheit von Netz- und Informationssystemen, die so genannte NIS-Richtlinie, vorbereiten. Dieses EU-Gesetz wird in nationales Recht umgesetzt und verschärft die Anforderungen in Bezug auf Cybersicherheit. Auch von Seiten der Diplomatie sind Initiativen zu erwarten, internationale Normen durchzusetzen. Laut Genfer Konventionen ist es beispielsweise nicht zulässig, kritische Infrastrukturen anzugreifen. Vieles ist reine Diplomatie. Trotzdem ist auch das ein Indikator dafür, dass Politiker Cyberangriffe als echte Bedrohung der nationalen Sicherheit begreifen.

Eine Frage der Sicherheitskultur

Nicht zuletzt ist die Technik gefragt. Von den OT-Anbietern werden verbesserte Sicherheitsvorkehrungen erwartet und hoffentlich wird dabei vermehrt in integrierte Sicherheit investiert. Und namhafte IT-Sicherheitslösungen werden Eingang in OT-Systeme finden. Umgehendes Patchen, mehr Netzwerksicherheit und bessere Zugriffskontrollen, insbesondere im Fall von Remote-Nutzern mit erweiterten Rechten sind wichtige erste Schritte. Der BlackEnergy-Angriff hat im Dezember 2015 Kraftwerke in der Ostukraine stillgelegt und Stromausfälle bei Hunderttausenden von privaten Haushalten verursacht. Die Angreifer haben remote auf HMI-Computer zugegriffen und von außerhalb mit den OT-Systemen des Energieversorgers kommuniziert. Eine gängige Taktik. Remote-Zugriffe zu überwachen trägt dazu bei, frühzeitig vor potenziellen Angriffen zu warnen.

Grundsätzlich ist alles eine Frage der Sicherheitskultur. Bevor IoT Bestandteil der OT wird, müssen Fachleute für Betriebstechnik und Experten für Cybersicherheit sich an einen Tisch setzen. Die digitale Transformation hat schon jetzt dafür gesorgt, dass es nicht mehr um getrennte Fachbereiche geht. Vielmehr müssen IT und OT nahtlos ineinandergreifen.

Martin Grauel ist Pre-Sales Manager EMEA bei One Identity.

Cyberschutz-Versicherung - Braucht man die?

Eine Cyberschutz-Versicherung kann die finanziellen Risiken eines Hacker-Angriffs und gezielter Wirtschaftskriminalität abmildern. Doch nur rund fünf Prozent der Unternehmen haben eine solche Versicherung für den Fall eines Cyber-Angriffs abgeschlossen. Das zeigt die aktuelle Studie „IT-Sicherheit 2018“ des eco – Verbands der Internetwirtschaft e. V. „Eine Cyberschutz-Versicherung ist für die meisten Unternehmen sinnvoll, zumal Betriebsunterbrechungen durch Online-Kriminalität ein hohes finanzielles Risiko bergen“, sagt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco.

Der Versicherungsschutz deckt dabei das Restrisiko ab. Im Vordergrund muss jedoch ein angemessener Grundschutz als Folge unterschiedlicher Maßnahmen stehen. Dazu gehören unter anderem tägliche Datensicherungen, zeitnahes Aufspielen von sicherheitsrelevanten Software-Updates, starke Passwörter, Schutz vor unbefugtem Zugriff auf personenbezogene und andere sensible Daten sowie Berechtigungsmanagement und Verschlüsselungen. Welcher IT-Schutz angemessen ist, das variiert von Unternehmen zu Unternehmen.

Unternehmen und Versicherung überprüfen zunächst gemeinsam, wie gut sich das Unternehmen vor Cybergefahren schützt. Das erhöht die Awareness bei den Verantwortlichen im Betrieb und hilft, das eigene Risiko realistisch einzuschätzen. Senken lässt sich dies beispielsweise mithilfe von Vorkehrungen, die einen Schaden im Fall der Fälle möglichst geringhalten – dazu zählt etwa ein Notfallplan, den Unternehmen regelmäßig überprüfen und aktualisieren sollten.

Wie sichert man Netzwerke für die IoT-Revolution?

IoT Security

Wie sichert man Netzwerke für die IoT-Revolution?

07.07.18 - Eine große Sorge beim Thema IoT sind – nicht ohne Grund – die Auswirkungen auf die Netzwerksicherheit. Mehr und mehr Arbeitnehmer bringen ihre IoT-Geräte mit in die Arbeit und verbinden diese mit dem Netzwerk. Eine Einladung an Hacker. lesen

Bei Produktionsanlagen das höchste Sicherheitslevel ansteuern

Industrie 4.0

Bei Produktionsanlagen das höchste Sicherheitslevel ansteuern

09.02.18 - Normale IT-Sicherheitstechnik schützt nicht vor Cyberattacken gegen Produktionsanlagen. Zu einer sicheren Industrie-4.0-Umgebung gelangen Unternehmen nur, wenn sie Technologien, Protokolle und Richtlinien richtig verknüpfen – und auch die Mitarbeiter mit einbinden. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45431604 / Security)